避免缓存应用数据
细节
数据可以在程序的各个环节被捕获,但许多都是无意义的。开发人员经常忽略一些数据存储点,包括日志/调试文件,Cookie,Web历史记录,Web缓存,属性列表,文件和SQLite数据库。将数据安全地存储在移动设备上需要恰当的技术。只要有可能,不要存储/缓存数据。这是避免在设备上引起数据泄露的最可靠的方法。
建议
防止HTTP缓存。开发人员可以将iOS和Android配置为不缓存网络数据,特别是HTTPS流量。在iOS中,可以看到实现一个NSURLConnection委托并禁用newCachedResponse。此外,我们建议您避免缓存任何Web访问过程(如注册)的URL历史记录和页面数据。HTTP缓存头非常重要,它们需要在Web服务器上进行正确的配置。HTTP协议支持响应头中的“无存储”指令,指示浏览器不能存储响应或请求的任何部分。对于Web应用程序,HTML表单输入可以使用autocomplete = off设置来指示浏览器不缓存值。在使用应用程序后,通过电子取证手段对设备数据进行检查可以有效避免缓存存储。